Lozinke se koriste hiljadama godina kao sredstvo koje pomaže drugima da vas identifikuju, a u novije vreme pomaže računarima pri identifikaciji korisnika. Koncept je sasvim jednostavan – pojedinci dele zajedničku informaciju, koja se među njima čuva u tajnosti i koristi se za „dokazivanje“ identiteta. Lozinke su se u kontekstu informacionih tehnologija pojavile šezdesetih godina prošlog veka uz glavne računare (velike računare kojima se upravlja iz centra koji imaju udaljene „terminale“ koji omogućavaju pristup korisnicima). Sada se lozinke koriste za sve, od ličnog identifikacionog broja koji unosimo na bankomatu, do prijavljivanja na računar i na razne veb-lokacije. Zbog čega treba da „dokazujemo“ svoj identitet sistemima kojima pristupamo? Zbog čega je teško postaviti ispravnu i odgovarajuću lozinku?
Šta čini dobru lozinku?
Do nedavno, dobra lozinka je mogla biti reč ili fraza od samo šest do osam znakova. Sada, međutim, imamo smernice o minimalnoj dužini lozinke. Zbog čega? Zbog „entropije“. Kada govorimo o lozinkama, entropija predstavlja merilo predvidljivosti. Matematika koja stoji iza tog procesa nije složena, ali celu proceduru možemo ispitati jednostavnijim merilom, odnosno, određivanjem broja mogućih lozinki, koji se ponekad naziva i „prostor lozinke“. Ako se lozinka sastoji od jednog znaka i sadrži samo jedno malo slovo, postoji samo 26 mogućih lozinki (od slova „a“ do slova „z“ – ako govorimo o engleskom alfabetu). Ako uključimo i velika slova, povećavamo prostor lozinke na 52 potencijalne lozinke.
Prostor lozinke nastavlja da se širi kako se povećava njena dužina i kako se dodaju drugi tipovi znakova.
Ako postavite dužu i složeniju lozinku, u velikoj meri se povećava potencijalni „prostor lozinke“. Što je veći prostor lozinke, ona je bezbednija ili što je lozinka složenija, to je potrebno više pokušaja da se pogodi. Međutim, i u slučaju kad postavimo vrlo složenu lozinku, možemo se naći u nevolji, jer računari izuzetno efikasno ponavljaju zadatke – uključujući i pogađanje lozinki. Prošle godine, računar je postavio rekord kad je pokušao da generiše svaku zamislivu lozinku. Ostvario je brzinu veću od 100.000.000.000 pokušaja u sekundi. Uz takvu računarsku snagu, sajber-kriminalci mogu da upadnu u sistem tako što će ga bombardovati sa što više kombinacija lozinki, a taj proces je poznat kao napad „grubom silom“. Pomoću tehnologije zasnovane na oblaku, pogađanje lozinke od osam znakova može se postići za samo 12 minuta i koštaće samo 25 američkih dolara.
Pošto se lozinke skoro uvek koriste za omogućavanje pristupa osetljivim podacima ili važnim sistemima, to motiviše sajber-kriminalce da se posvete pretraživanju, što opet pokreće unosno tržište za prodaju lozinki, od kojih neke imaju adrese e-pošte i/ili korisnička imena. Zbog toga ne treba da vas iznenadi podatak da na mreži možete da kupite skoro 600 miliona lozinki za samo 14 američkih dolara!
Kako se lozinke čuvaju na veb-lokacijama?
Lozinke za veb-lokacije obično se čuvaju na zaštićen način pomoću matematičkog algoritma koji se naziva heširanje. Heširana lozinka je neprepoznatljiva i ne može se pretvoriti u lozinku, dakle, govorimo o nepovratnom postupku.
Kada pokušate da se prijavite, lozinka koju ste uneli hešira se istim postupkom i upoređuje sa verzijom koja je sačuvana na veb-lokaciji. Taj postupak se ponavlja svaki put kada se prijavljujete. Na primer, lozinka „ Pa$$w0rd“ dobija vrednost „02726d40f378e716981c4321d60ba3a325ed6a4c“ kada se izračunava pomoću algoritma heširanja SHA1. Možete i sami da proverite. Kada pronađete datoteku punu heširanih lozinki, može da koristite napad „grubom silom“, tako što ćete isprobati svaku kombinaciju znakova za raspon dužina lozinki. To je postala toliko uobičajena praksa da postoje veb-lokacije koje pored uobičajenih lozinki navode i njihove (izračunate) heširane vrednosti. Jednostavno možete da potražite heš da biste potencijalno otkrili lozinku koja mu odgovara.
Krađa i prodaja popisa lozinki je sada tako česta, da je namenska veb-lokacija – haveibeenpwned.com – dostupna korisnicima da bi im pomogla da provere da li su njihovi nalozi kompromitovani. Popis se neprestano proširuje i trenutno obuhvata podatke za preko 10 milijardi naloga. Ako je vaša adresa e-pošte navedena na toj veb-lokaciji, definitivno bi trebalo da promenite otkrivenu lozinku, kao i na bilo kojoj drugoj veb-lokaciji za koju koristite iste akreditive.
Da li složenija lozinka predstavlja rešenje problema?
Mogli biste da pomislite da su nas mnogobrojni upadi i otkrivanja lozinki nečemu naučili i naterali nas da ih pažljivije biramo. Nažalost, prošlogodišnje istraživanje lozinki pod nazivom SplashData pokazalo je da se malo toga promenilo tokom pet godina. Kako se računarske mogućnosti povećavaju, izgleda da je pravo rešenje da povećamo složenost lozinki. Međutim, čini se da nismo baš vešti (niti motivisani) da pamtimo izuzetno složene lozinke. Uz to, odavno već koristimo mnogo više od dva ili tri sistema kojima je potrebna lozinka. Sada sasvim uobičajeno pristupamo brojnim veb-lokacijama, a za svaku je potrebna lozinka (često različite dužine i složenosti). Nedavno istraživanje pokazuje da u proseku svaka osoba koristi između 70 i 80 lozinki.
Dobra vest je da postoje alati za rešavanje tih problema. Većina računara sada podržava skladištenje lozinki bilo u operativnom sistemu ili u veb-pregledaču, obično uz mogućnost deljenja na više uređaja. Navešćemo primere kao što su iCloud Keychain kompanije „Epl“ i mogućnost čuvanja lozinki u Internet Explorer- u, Chrome- u i Firefox- u (iako manje pouzdane). Menadžeri lozinki kao što je KeePassXC mogu da pomognu korisnicima da generišu duge i složene lozinke i čuvaju ih na sigurnom mestu i koriste ih kada su im potrebne. Iako tu lokaciju i dalje treba zaštititi (obično dugačkom „glavnom lozinkom“), korišćenje menadžera lozinki omogućava vam da upotrebite jedinstvenu i složenu lozinku za svaku veb-lokaciju koju posetite.
To neće sprečiti krađu lozinke sa osetljive veb-lokacije, ali ako je neko i ukrade, nećete morati da brinete o promeni iste lozinke na svim drugim veb-lokacijama. Postoje ranjivosti i u tim rešenjima, ali to je priča za neku drugu priliku.
Izvor : theconversation.com